Программа по формированию навыков безопасного поведения на дорогах и улицах «Добрая дорога детства» 2

Виртуализация — не гарантия безопасности

Одним из преимуществ виртуализации считалась безопасность, однако согласно недавнему исследованию, это уже не так.

Новое вредоносное ПО способно определять, что оно работает внутри виртуальной машины, и в зависимости от этого менять свое поведение. «Скрыть существование ВМ принципиально невозможно», утверждают авторы отчета в ответ на высказываемые некоторыми разработчиками технологии виртуализации и средств безопасности надежды на создание необнаруживаемых ВМ.

Документ, называемый «Совместимость и прозрачность не одно и то же: мифы и реальность обнаружения механизмов управления виртуальными машинами», опубликован поставщикам ПО виртуализации VMware и XenSource совместно с учеными из Стэнфордского и Карнеги-Меллонского университетов. В нем обсуждается возможность использования виртуальных машин (ВМ) в качестве способа перехвата атак руткитов — так называемого хонипотинга — а также для обнаружения червей. Надежды на это опирались на неспособность обычного вредоносного ПО распознать, что оно атакует не реальную, физическую машину.

Авторы отмечают, что «по аналогичным причинам поставщики антивирусов стараются оправдать использование ими ВМ для идентификации новых эксплойтов. Другие предлагают использование виртуализации для агрессии в форме руткитов на базе ВМ в надежде на то, что прозрачность механизмов управления ВМ (VMM) скроет их присутствие и создаст идеальную платформу для атак… Мы считаем, что требуемая для этих целей прозрачность недостижима ни сегодня, ни в будущем».

Согласно отчету, проблема заключается в том, что эти разрабатываемые средства защиты отталкиваются от предположения, будто если все технические характеристики совпадают с реальной машиной, то ПО не может обнаружить, что находится в виртуальной среде. Однако существуют важные признаки, которые выдают присутствие ВМ. «Виртуальная реализация этой архитектуры существенно отличается от физических реализаций… Логические различия состоят в семантических особенностях интерфейсов реальной и виртуальной аппаратуры. Большинство современных методов обнаружения VMM используют особенности интерфейса виртуального ЦП VMM, такого как VMware Player или Microsoft VirtualPC, который нарушает архитектуру х86».

Для подавляющего большинства программ эти и другие различия не имеют значения, поэтому VMM не пытаются скрыть их. Но программы могут обнаруживать различия в ЦП, запоминающих устройствах и драйверах устройств, главным образом потому, что разработчики VMM больше сосредоточены на совместимости и производительности, чем на возможности обнаружения или безопасности в целом.

В результате, заключают авторы, «простота создания новых методов обнаружения предполагает, что обеспечить полную прозрачность VMM практически невозможно».

1 августа, 2007

Symantec хочет подорвать подпольный бизнес «кражи личности»
Специалисты компании разработали систему, которая обыскивает подпольные веб-сайты и чат-румы в поисках информации, выставленной на продажу.

Как рассказал директор Symantec Security Response по новым технологиям Оливер Фридрихс, система, называемая Dark Vision, разработана в середине 2006 года и позволяет Symantec «наблюдать за подпольной экономикой». Symantec еще не решила, будет ли она включать Dark Vision в свои семейства продуктов. «Пока это лишь прототип на ранней стадии, — пояснил Фридрихс. – Но мы видим несколько возможностей, включая возможность предупреждения потребителей, чья информация выставлена на продажу».

«Похитители личности» встречаются с подпольными покупателями информации на многочисленных веб-сайтах «кардеров», а затем договариваются о купле-продаже в чат-румах или каналах IRC. По словам Фридрихса, номер кредитной карты можно купить всего за $6, но спросом пользуется и другая информация, такая как номера социального страхования, адреса и телефоны. «Всю информацию, удостоверяющую чью-то личность, можно купить в среднем за $14-$18, — утверждает он. — На самом деле они продают ее оптом».

Dark Vision выводит графическое представление данных, «нарытых» на этих веб-сайтах и в IRC, с точным указанием расположения сервера кардера и сути переговоров. Так как большую часть информации о кредитных картах кардеры предлагают тайно — и за деньги, — Dark Vision обнаруживает лишь небольшую часть украденных данных, как правило, регистрируя только примеры данных, выложенных в форумах, для проверки легитимности продавца.

За первые три месяца тестирования Dark Vision обнаружила около 800 краденных номеров кредитных карт. Тем не менее, этот инструмент, по мнению Фридрихса, может оказаться полезным для эмитентов кредитных карт или компаний, которые ищут ранние признаки утечки информации, и, возможно, будет использоваться глобальной службой безопасности Symantec.

Symantec — не первая компания, попытавшаяся использовать подобную информацию в коммерческих целях. Небольшая фирма из Малибу (штат Калифорния) CardCops уже идет в этом направлении, вылавливая в интернете компрометирующие данные и сообщая о них предпринимателям, властям и потребителям.

Согласно прошлогодним оценкам Министерства юстиции США, от «кражи личности» страдают миллионы потребителей в год, а сумма ущерба составляет примерно $6,4 млрд.

31 июля, 2007

Symantec представила стратегию Consumer Identity
Компания надеется включиться в бизнес аутентификации потребителей в онлайне, объем которого к 2011 году предположительно составит $1,1 млрд.

В среду, на конференции DEMO 07, Symantec продемонстрировала новый клиент для удостоверения личности, основной компонент своей инициативы Security 2.0. Программа, которая находится в стадии разработки, будет называться Norton Identity Client и станет первым шагом по реализации рассчитанного на 1-2 года проекта, который должен связать сервисы с программным обеспечением, а потребителей — с предприятиями. Symantec сравнивает свой клиент с международными водительскими правами — он будет служить удостоверением личности покупателя для продавцов.

Программа содержит и инструменты для покупателей, позволяющие, например, получать сведения о репутации сайта, включая время регистрации домена, или об использовании сайтом известного цифрового сертификата фишеров и генерировать одноразовые адреса e-mail для потенциально «спамящих» веб-сайтов.

Norton Identity Client будет независимым от протокола. Symantec планирует поддерживать и систему хранения цифровых удостоверений личности Microsoft CardSpace, и среду аутентификации open-source OpenID. Клиент будет поддерживать также одноразовые пароли с использованием специального устройства USB, которые начинают практиковать некоторые банки и брокерские фирмы и которые уже в этом году начнут применяться для дебетных и кредитных карт в США.

Чтобы дать старт своему клиенту аутентификации, Symantec воспользуется системой Norton Account, которая хранит ключи потребительских программных продуктов на серверах компании на тот случай, если эти продукты придется переустанавливать. Symantec утверждает, что в этой системе зарегистрированы свыше половины пользователей ее продуктов семейства Norton.

Однако пока неизвестно, как именно Norton Identity Client будет распространяться среди потребителей. Возможно, что он будет продаваться отдельно, как Norton Confidential, или же будет встроен в другие потребительские пакеты Symantec, такие как Norton Internet Security.

«Мы хотим, чтобы с помощью Norton Identity Client потребители обрели уверенность при онлайновых операциях, а предприятия смогли сосредоточиться не на аутентификации, а на своем основном бизнесе», — рассказал архитектор ПО Symantec Брайан Хернаки.

1 февраля, 2007
APPENDIX
A term-quiz.
Write a correct term for each definition.
1. A number of Internet computers that, although their owners are unaware of it, have been set up to forward transmissions (including spam or viruses) to other computers on the Internet.

1. 
   An attack method in which a hacker alters dynamically generated content on a Web page by entering HTML code into an input mechanism, such as a form field that lacks effective validation constraints.
   
2. 
   … is causing a stack in a computer application or operating system to overflow.
   
3. 
   In a security context, … is unauthorized access to another person's or company's data.
   
4. 
   … is the attacking of a network by exploiting Internet Protocol (IP) broadcast addressing and certain other aspects of Internet operation.
   
5. 
   … is someone who breaks into the telephone network illegally, typically to make free long-distance phone calls or to tap phone lines.
   
6. 
   … is a denial of service (DoS) attack caused by an attacker deliberately sending an IP packet larger than the 65,536 bytes allowed by the IP protocol.
   
7. 
   … is one in which the attacker intercepts messages in a public key exchange and then retransmits them, substituting his own public key for the requested one, so that the two original parties still appear to be communicating with each other.
   
8. 
   … is a type of attack where the attacker pretends to be an authorized user of a system in order to gain access to it or to gain greater privileges than they are authorized for.
   
9. 
   … , also called slag code, is programming code, inserted surreptitiously or intentionally, that is designed to execute (or "explode") under circumstances such as the lapse of a certain amount of time or the failure of a a program user to respond to a program command.
   
10. 
    … , also known as IP address forgery or a host file hijack, is a hijacking technique in which a cracker masquerades as a trusted host to conceal his identity, spoof a Web site, hijack browsers, or gain access to a network.
    
11. 
    … is a type of malware program that alters your computer's browser settings so that you are redirected to Web sites that you had no intention of visiting.
    
12. 
    … is a type of network security attack in which the attacker takes control of a communication - just as an airplane hijacker takes control of a flight - between two entities and masquerades as one of them.
    
13. 
    … is a term for the use of unauthorized applications on a corporate network.
    
14. 
    … is a coding error in a computer program.
    
15. 
    … is a sudden break in function or continuity, sometimes of a transient nature, with a varying degree of seriousness.
    
16. 
    … is an attack on a computer system, especially one that takes advantage of a particular vulnerability that the system offers to intruders.
    
17. 
    … is one that takes advantage of a security vulnerability on the same day that the vulnerability becomes generally known.
    
18. 
    … is any program or file that is harmful to a computer user.
    
19. 
    … is any software application in which advertising banners are displayed while the program is running.
    
20. 
    … usually includes code that tracks a user's personal information and passes it on to third parties, without the user's authorization or knowledge.
    
21. 
    An … is a home-made wireless access point (hot spot) that masquerades as a legitimate one to gather personal or corporate information without the end-user's knowledge.
    
22. 
    A … is an attempt to determine the valid e-mail addresses associated with an e-mail server so that they can be added to a spam database.
    
23. 
    A … is a method of breaking into a password-protected computer or server by systematically entering every word in a dictionary as a password.
    
24. 
    … is the modification of a cookie (personal information in a Web user's computer) by an attacker to gain unauthorized information about the user for purposes such as identity theft.
    
25. 
    … is using direct observation techniques, such as looking over someone's shoulder, to get information.
    
26. 
    … is looking for treasure in someone else's trash.
    
27. 
    … is a program that may be unwanted, despite the possibility that users consented to download it.
    
28. 
    … is a program that is automatically downloaded to your computer, often without your consent or even your knowledge.
    
29. 
    … is a window that asks the user to download a program to their computer's hard drive.
    
30. 
    … is unwanted programming that is downloaded and installed along with a user-requested program.
    
31. 
    … is information that a Web site puts on your hard disk so that it can remember something about you at a later time.
    
32. 
    … that are installed with the user's knowledge are not, properly speaking, spyware, if the user fully understands what data is being collected and with whom it is being shared.
    
33. 
    … is a crime in which an imposter obtains key pieces of personal information, such as Social Security or driver's license numbers, in order to impersonate someone else.
    
34. 
    … is the forgery (выдумка) of an e-mail header so that the message appears to have originated from someone or somewhere other than the actual source.
    
35. 
    … is a service that allows a caller to masquerade as someone else by falsifying the number that appears on the recipient's caller ID display.
    
36. 
    … is the corruption of an Internet server's domain name system table by replacing an Internet address with that of another, rogue address.
    
37. 
    The eventual effect of a software virus that has been delivered to a user's computer.
    
38. 
    … is a program or programming code that replicates by being copied or initiating its copying to another program, computer boot sector or document.
    
39. 
    An … is computer code sent to you as an e-mail note attachment which, if activated, will cause some unexpected and usually harmful effect, such as destroying certain files on your hard disk and causing the attachment to be remailed to everyone in your address book.
    
40. 
    … is the theft of information from a wireless device through a Bluetooth connection.
    
41. 
    A … is a technique for causing the Windows operating system of someone you're communicating with to crash or suddenly terminate.
    
42. 
    … is a computer network attack that seeks to maximize the severity of damage and speed of contagion by combining methods, for example using characteristics of both viruses and worms, while also taking advantage of vulnerabilities in computers, networks, or other physical systems.
    
43. 
    … occurs when a program or process tries to store more data in a buffer (temporary data storage area) than it was intended to hold.
    
44. 
    … is a computer virus that "infects" a Microsoft Word or similar application and causes a sequence of actions to be performed automatically when the application is started.
    
45. 
    … is a self-replicating virus that does not alter files but resides in active memory and duplicates itself.
    
46. 
    … is a program in which malicious or harmful code is contained inside apparently harmless programming or data in such a way that it can get control and do its chosen form of damage, such as ruining the file allocation table on your hard disk.
    
47. 
    … is a computer virus that uses various mechanisms to avoid detection by antivirus software.
    
48. 
    … is one that combines characteristics of more than one type to infect both program files and system sectors.
    
49. 
    … is a false warning about a computer virus.
    
50. 
    … is an e-mail spoofing fraud attempt that targets a specific organization, seeking unauthorized access to confidential data.
    
51. 
    … means to go around something by an external route rather than going through it.
    
52. 
    … is a flaw that allows data to circumvent the encryption process and escape, unencrypted.
    
53. 
    A bypass that is purposefully put in place as a means of access for authorized users is called … .
    
54. 
    … is e-mail fraud where the perpetrator sends out legitimate-looking e-mails that appear to come from well known and trustworthy Web sites in an attempt to gather personal and financial information from the recipient.
    
55. 
    … is a scamming practice in which malicious code is installed on a personal computer or server, misdirecting users to fraudulent Web sites without their knowledge or consent. … has been called "phishing without a lure."